Na papierze DORA wygląda jak kolejne rozporządzenie unijne – kilkadziesiąt artykułów, odwołania do standardów technicznych, definicje i terminy. W praktyce – wiele polskich podmiotów finansowych odkryło to dopiero po 17 stycznia 2025 r. – oznacza gruntowną przebudowę sposobu, w jaki firma zarządza ryzykiem systemów informatycznych. Nie chodzi o polityki bezpieczeństwa w szufladzie. Chodzi o działające procesy, umowy z dostawcami, rejestry incydentów i zdolność do wykazania zgodności przed KNF.
Rozporządzenie DORA (Rozporządzenie UE 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego) obowiązuje bezpośrednio w Polsce od 17 stycznia 2025 roku. Obejmuje banki, towarzystwa ubezpieczeniowe, firmy inwestycyjne, instytucje płatnicze i szereg innych podmiotów nadzorowanych przez KNF. Wdrożenie wymaga spełnienia pięciu filarów operacyjnych w terminach wskazanych przez regulacyjne standardy techniczne (RTS) i wytyczne wykonawcze (ITS) Europejskich Urzędów Nadzoru.
Ten przewodnik wyjaśnia krok po kroku, czego DORA wymaga, jakie błędy popełniają polskie podmioty i jak uniknąć odpowiedzialności wobec KNF. Omawiamy trzy scenariusze biznesowe: bank detaliczny, firmę fintech i inwestora zagranicznego wchodzącego na rynek polski.
Kogo obejmuje DORA i jakie są granice podmiotowe w Polsce?
DORA stosuje się do podmiotów finansowych w rozumieniu art. 2 rozporządzenia. W polskim kontekście nadzorcą jest Komisja Nadzoru Finansowego (KNF). Obowiązek dotyczy banków krajowych, oddziałów banków zagranicznych, zakładów ubezpieczeń, firm inwestycyjnych, instytucji płatniczych, podmiotów świadczących usługi kryptoaktywów (po wejściu w życie MiCA) oraz – co często zaskakuje – zewnętrznych dostawców usług ICT uznanych za krytycznych.
Rozporządzenie przewiduje zasadę proporcjonalności. Małe i mikropodmioty mogą stosować uproszczony reżim zarządzania ryzykiem ICT. Próg kwalifikujący do uproszczonego reżimu wyznaczają kryteria określone w art. 16 DORA: liczba pracowników, suma bilansowa, wolumen transakcji. Mimo to nawet najmniejsza instytucja płatnicza musi prowadzić rejestr umów z dostawcami ICT i zgłaszać poważne incydenty do KNF w ciągu 4 godzin od klasyfikacji.
Warto zwrócić uwagę na trzy grupy podmiotów, które często błędnie zakładają wyłączenie spod DORA. Po pierwsze, podmioty prowadzące działalność na podstawie zezwolenia KNF w zakresie usług płatniczych. Po drugie, agenci firm ubezpieczeniowych – jeśli prowadzą własną infrastrukturę IT obsługującą klientów. Po trzecie, polskie spółki zależne zagranicznych grup finansowych. Każda z tych grup podlega pełnemu lub częściowemu reżimowi DORA.
- Banki krajowe i oddziały banków zagranicznych – pełny reżim DORA
- Instytucje płatnicze i e-money institutions – pełny reżim
- Zakłady ubezpieczeń i reasekuracji – pełny reżim
- Firmy inwestycyjne nadzorowane przez KNF – pełny reżim
- Małe instytucje płatnicze – uproszczony reżim z art. 16 DORA
Dla zagranicznego inwestora wchodzącego na rynek polski sytuacja jest złożona. Jeśli planuje uzyskać zezwolenie KNF, musi zaprojektować architekturę ICT zgodnie z DORA jeszcze przed złożeniem wniosku. KNF coraz częściej weryfikuje dokumentację ICT na etapie procesu licencyjnego. Brak gotowości opóźnia licencję o co najmniej 6 miesięcy.
Jakie są pięć filarów operacyjnych DORA i co oznaczają w praktyce?
DORA opiera się na pięciu obszarach operacyjnych. Każdy z nich wymaga osobnych procedur, dokumentacji i zasobów. Zrozumienie tych filarów to punkt wyjścia do sensownego planu wdrożenia.
Filar 1 – Zarządzanie ryzykiem ICT. Podmiot musi posiadać zatwierdzony przez organ zarządzający framework ryzyka ICT. Obejmuje on identyfikację aktywów, ocenę zagrożeń, środki ochrony, wykrywanie anomalii i plany przywracania ciągłości działania. Organy zarządzające (zarząd lub rada nadzorcza) ponoszą osobistą odpowiedzialność za zatwierdzenie i coroczny przegląd tego frameworku. To nie jest zadanie dla działu IT – to zadanie dla zarządu.
Filar 2 – Zarządzanie incydentami ICT. DORA wprowadza trójstopniowy system raportowania: zgłoszenie wstępne w ciągu 4 godzin od klasyfikacji poważnego incydentu, raport pośredni w ciągu 72 godzin i raport końcowy w ciągu 30 dni. KNF przekazuje te raporty do Europejskich Urzędów Nadzoru (EBA, ESMA, EIOPA). Klasyfikacja incydentu jako „poważnego" opiera się na kryteriach z regulacyjnych standardów technicznych – liczbie dotkniętych klientów, czasie przestoju, wpływie na transakcje.
Filar 3 – Testowanie odporności cyfrowej. Podmioty finansowe muszą przeprowadzać regularne testy, w tym testy penetracyjne oparte na analizie zagrożeń (TLPT – Threat-Led Penetration Testing). TLPT obowiązuje podmioty o istotnym znaczeniu systemowym co najmniej raz na 3 lata. Wyniki testów trafiają do KNF. Podmiot, który nie przeprowadził TLPT w wymaganym terminie, naraża się na sankcje nadzorcze.
Filar 4 – Zarządzanie ryzykiem dostawców ICT. To najczęściej niedoceniany obszar. DORA wymaga prowadzenia rejestru wszystkich umów z dostawcami ICT, z podziałem na usługi krytyczne i niekrytyczne. Umowy z dostawcami krytycznych usług ICT muszą zawierać klauzule dotyczące: prawa do audytu, planów wyjścia (exit strategy), lokalizacji danych i poziomów usług (SLA). Termin na dostosowanie istniejących umów z dostawcami to 12 miesięcy od dnia wejścia w życie rozporządzenia – czyli do 17 stycznia 2026 r.
Filar 5 – Wymiana informacji. Podmioty mogą (i powinny) uczestniczyć w dobrowolnych schematach wymiany informacji o cyberzagrożeniach. W Polsce rolę koordynatora pełni CERT Polska i struktury sektorowe. Uczestnictwo w takich schematach jest faktorem łagodzącym przy ocenie nadzorczej KNF.
Uważamy, że bezpieczniejszym rozwiązaniem jest zacząć od audytu luk (gap analysis) obejmującego wszystkie pięć filarów, zanim podmiot przystąpi do opracowywania polityk. Firmy, które próbują wdrażać DORA „po kawałku", bez mapy całości, tracą czas i generują niespójności.
Aby ocenić, w którym miejscu jest Twoja instytucja, warto odnieść się do klasyfikacji systemów wysokiego ryzyka w kontekście AI Act – wiele podmiotów finansowych stosuje systemy AI, które podlegają równoległym obowiązkom zarówno z DORA, jak i z Rozporządzenia UE 2024/1689.
Konkretna sytuacja Państwa instytucji – zakres działalności, liczba dostawców ICT, posiadana dokumentacja – wymaga indywidualnej oceny. Opóźnienie w dostosowaniu umów z dostawcami może mieć nieodwracalne skutki dla ciągłości relacji kontraktowych i pozycji nadzorczej wobec KNF.
Jeśli Państwa podmiot nie zakończył audytu luk w obszarze DORA, przeprowadzimy analizę pięciu filarów i wskazania priorytetów wdrożeniowych: info@kordeckipartners.com.
Jakie błędy popełniają polskie podmioty finansowe przy wdrożeniu DORA?
Błąd nr 1 – traktowanie DORA jako projektu IT, nie prawnego. Zarządy wielu instytucji delegują całość wdrożenia do działu informatyki. Tymczasem DORA nakłada osobistą odpowiedzialność na organ zarządzający za zatwierdzenie frameworku ryzyka ICT. Jeśli zarząd nie rozumie, co zatwierdza, odpowiada mimo braku wiedzy technicznej. To pułapka, którą KNF może wykorzystać w postępowaniu nadzorczym.
Błąd nr 2 – brak rejestru umów z dostawcami ICT. Wiele polskich instytucji finansowych korzysta z dziesiątek usług chmurowych, oprogramowania SaaS i usług wsparcia technicznego. Rejestr wymagany przez DORA musi zawierać klasyfikację każdej usługi jako krytycznej lub niekrytycznej oraz ocenę ryzyka koncentracji. Podmiot, który nie wie, ilu ma dostawców ICT i jakie dane im powierzył, nie jest w stanie spełnić wymagań Filaru 4.
Błąd nr 3 – umowy z dostawcami ICT bez klauzul DORA. Standardowe umowy SaaS i umowy z dostawcami chmury publicznej nie zawierają klauzul wymaganych przez DORA – prawa do audytu, lokalizacji danych, planów wyjścia. Renegocjacja umów z dużymi dostawcami (AWS, Azure, Google Cloud) wymaga czasu. Termin na dostosowanie umów upływa 17 stycznia 2026 r. Instytucje, które rozpoczną renegocjacje w grudniu 2025 r., prawdopodobnie nie zdążą.
Pewna instytucja płatnicza z Mazowsza, jesienią 2024 r., odkryła podczas wewnętrznego audytu, że ponad 60% jej umów z dostawcami ICT nie zawiera żadnej klauzuli dotyczącej lokalizacji danych ani prawa do audytu. Renegocjacja 23 umów zajęła 8 miesięcy. Instytucja zdążyła – ale tylko dlatego, że zaczęła wcześnie.
Błąd nr 4 – brak procedury klasyfikacji incydentów. DORA wymaga, by podmiot potrafił w ciągu 4 godzin od wykrycia zdarzenia ICT sklasyfikować je jako poważny incydent lub nie. Bez udokumentowanej procedury klasyfikacji i wyznaczonych osób odpowiedzialnych jest to niemożliwe. W praktyce – wiele firm o tym zapomina – brakuje prostej matrycy decyzyjnej, kto i kiedy uruchamia procedurę zgłoszeniową do KNF.
Błąd nr 5 – ignorowanie RODO w kontekście DORA. Incydent ICT często jest jednocześnie naruszeniem ochrony danych osobowych w rozumieniu Rozporządzenia UE 2016/679 (RODO). Podmiot musi wtedy równolegle zgłosić incydent do KNF (w reżimie DORA) i do UODO (w reżimie RODO, w ciągu 72 godzin). Brak skoordynowanej procedury podwójnego zgłoszenia to jeden z najczęstszych błędów compliance w polskich podmiotach finansowych.
Trzy scenariusze biznesowe – jak wdrożyć DORA krok po kroku?
Każdy podmiot finansowy wdraża DORA w innych warunkach startowych. Poniżej przedstawiamy trzy scenariusze z konkretnymi krokami i orientacyjnymi ramami czasowymi.
Scenariusz 1 – Bank detaliczny (pełny reżim DORA). Duży bank z rozbudowaną infrastrukturą IT powinien traktować wdrożenie DORA jako projekt 18-miesięczny. Krok 1 (miesiące 1–3): gap analysis wszystkich pięciu filarów, identyfikacja dostawców ICT, wstępna klasyfikacja usług. Krok 2 (miesiące 4–8): opracowanie i zatwierdzenie przez zarząd frameworku ryzyka ICT, procedury zarządzania incydentami, rejestru umów. Krok 3 (miesiące 9–14): renegocjacja umów z dostawcami, wdrożenie procedur testowania. Krok 4 (miesiące 15–18): pierwsze TLPT, dokumentacja wyników, przygotowanie do kontroli KNF. Orientacyjny koszt projektu wdrożeniowego dla banku średniej wielkości: 800 000 – 2 500 000 PLN, zależnie od zakresu outsourcingu IT.
Scenariusz 2 – Firma fintech (instytucja płatnicza). Firma fintech z licencją KNF na usługi płatnicze, zatrudniająca 50 pracowników, stosuje uproszczony reżim zarządzania ryzykiem ICT z art. 16 DORA. Jednak obowiązek raportowania incydentów (4 godziny / 72 godziny / 30 dni) i rejestr umów z dostawcami obowiązują w pełni. Kluczowe wyzwanie dla fintechów to dostawcy chmury – często są to globalne platformy SaaS, które nie negocjują indywidualnych klauzul kontraktowych. Rozwiązaniem jest skorzystanie ze standardowych klauzul kontraktowych przygotowanych przez EBA lub negocjacja przez organizacje branżowe. Orientacyjny koszt wdrożenia DORA w fintechu: 150 000 – 400 000 PLN.
Scenariusz 3 – Zagraniczny inwestor wchodzący na rynek polski. Dla grupy finansowej z siedzibą w Niemczech lub Holandii, zakładającej polską spółkę zależną z licencją KNF, DORA oznacza konieczność dostosowania globalnej architektury ICT do polskich wymogów nadzorczych. KNF oczekuje, że polska spółka zależna będzie mogła wykazać własny framework ryzyka ICT – nie wystarczy odesłanie do polityk grupy. Szczególnie istotne jest zagadnienie lokalizacji danych: jeśli dane polskich klientów są przetwarzane na serwerach poza EOG, podmiot musi wykazać mechanizmy transferu zgodne z RODO (Rozporządzenie UE 2016/679) i zabezpieczenia operacyjne zgodne z DORA.
Dla podmiotów korzystających z ulgi IP Box warto odnotować, że koszty wdrożenia DORA mogą być powiązane z kwalifikowanymi prawami własności intelektualnej – szczegóły dotyczące kwalifikacji kosztów IT opisujemy w artykule o IP Box dla firm IT i możliwości skorzystania z 5% stawki CIT.
Co przygotować przed rozmową z doradcą prawnym w sprawie DORA:
- Lista wszystkich umów z dostawcami ICT (usługi chmurowe, SaaS, wsparcie techniczne)
- Schemat architektury IT z zaznaczeniem usług krytycznych dla działalności
- Dotychczasowe polityki bezpieczeństwa IT i zarządzania incydentami
- Dokumentacja ostatnich testów penetracyjnych lub audytów bezpieczeństwa
- Protokoły zarządu dotyczące zatwierdzeń w obszarze IT i ryzyka operacyjnego
Konkretna sytuacja Państwa podmiotu – liczba i rodzaj dostawców ICT, zakres licencji KNF, dotychczasowa dokumentacja – wymaga indywidualnej oceny. Brak dostosowanych umów z dostawcami ICT do 17 stycznia 2026 r. może nieodwracalnie narazić Państwa instytucję na sankcje nadzorcze i utratę pozycji licencyjnej.
W sprawie wdrożenia DORA – od gap analysis po renegocjację umów z dostawcami – umów spotkanie: info@kordeckipartners.com.
Często zadawane pytania
P: Czy DORA dotyczy polskich firm technologicznych świadczących usługi dla banków, ale nieposiadających licencji KNF?
O: Bezpośrednie obowiązki z rozporządzenia DORA (Rozporządzenie UE 2022/2554) spoczywają na podmiotach finansowych posiadających licencję lub zezwolenie KNF. Jednak dostawcy usług ICT świadczący usługi na rzecz takich podmiotów mogą zostać uznani przez Europejskie Urzędy Nadzoru za krytycznych zewnętrznych dostawców ICT (Critical ICT Third-Party Providers). Taki dostawca podlega wówczas bezpośredniemu nadzorowi EBA, ESMA lub EIOPA. Polska firma IT świadcząca usługi chmurowe lub przetwarzania danych dla wielu europejskich instytucji finansowych powinna już teraz ocenić ryzyko takiej kwalifikacji.
P: Ile kosztuje wdrożenie DORA i czy koszty można odliczyć podatkowo?
O: Koszt wdrożenia zależy od wielkości podmiotu i zakresu outsourcingu IT. Dla małej instytucji płatniczej to orientacyjnie 100 000 – 200 000 PLN, dla banku średniej wielkości nawet kilka milionów złotych. Koszty doradztwa prawnego i technologicznego związane z wdrożeniem DORA są co do zasady kosztem uzyskania przychodu na podstawie artykułu 15 ustęp 1 ustawy o CIT (koszty poniesione w celu zachowania źródła przychodu). W przypadku podmiotów korzystających z IP Box kwalifikacja kosztów IT wymaga odrębnej analizy.
P: Powszechne nieporozumienie – czy posiadanie certyfikatu ISO 27001 zwalnia z obowiązków DORA?
O: Nie – certyfikat ISO 27001 nie zastępuje wymogów DORA i nie zwalnia z żadnego z pięciu filarów operacyjnych. DORA jest rozporządzeniem unijnym stosowanym bezpośrednio, a jego wymagania są autonomiczne wobec standardów ISO. Certyfikat ISO 27001 może być dowodem dojrzałości procesów bezpieczeństwa informacji i faktorem łagodzącym przy ocenie nadzorczej KNF, ale nie eliminuje obowiązku raportowania incydentów w terminach 4 godzin / 72 godzin / 30 dni ani obowiązku prowadzenia rejestru umów z dostawcami ICT zgodnego z rozporządzeniem DORA.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji DORA, AI Act i cyberbezpieczeństwa sektora finansowego. Pracujemy z polskimi instytucjami finansowymi, zagranicznymi inwestorami wchodzącymi na rynek polski oraz działami prawnymi i compliance korporacji. Doradzamy przy wdrożeniach DORA, ocenie ryzyka ICT, renegocjacji umów z dostawcami technologicznymi i przygotowaniu do kontroli KNF. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI. Doradza podmiotom finansowym i technologicznym przy wdrożeniach DORA oraz klasyfikacji systemów AI zgodnie z Rozporządzeniem UE 2024/1689 (AI Act).
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.